《原文注釋》：「敵之害大，就勢取利，剛夬(ㄍㄨㄞˋ)柔也。」

《原文解析》：

(1) 敵之害大，就勢取利：敵方處於危機的時候，要趁機進攻奪取勝利。
(2) 剛夬(ㄍㄨㄞˋ)柔也：「剛」比喻己方，以「柔」比喻敵方，意思就是說乘敵之危，就勢而取勝的意思。

《出處》：

春秋時，越王勾踐乘吳國內，蟹稻不遺種(螃蟹和稻谷連種子都沒留下，說明發生大旱災，處于危急之中。)而謀攻之，後乘吳王夫差北上，會諸侯於黃池之際，國內空虛，因而出兵吳國，大獲全勝。

《資安戰運用實例》：

2015~2018 年，有一個叫 SamSam 的變種勒索軟體席捲北美及英國，造成超過 200 家公司、3 千萬美元以上的損失。犯罪者很聰明的鎖定醫療機構及大眾資源服務機構，因為很清楚如果這些機構的電腦關閉，可能導致人命相關損失。據估計，勒索者至少收到 600 萬美元以上贖金。不過，這起案件中意外發現，有兩家所謂的資安公司在趁火打劫。其中一家Proven Data 公司聲稱透過他們「最新研發的技術」，可幫助客戶恢復被勒索的資料，幫他們解鎖。事實上他們是透過支付贖金的方式，從攻擊者處取得解鎖工具。其中關鍵，就在於很多公司或醫療單位，不太願意直接跟勒索病毒的攻擊者打交道，因為這個原因，所以透過資安公司付贖金，事實上並沒有所謂的任何新的技術，因此資安公司也不過是趁機會狠賺一筆交付贖金的服務費用而已。

該篇新聞，請詳閱以下連結：https://technews.tw/2019/05/27/firms-that-promised-high-tech-ransomware-solutions-almost-always-just-pay-the-hackers/

《企業實務上，筆者觀點》

從以上的實例延伸到企業，目前很多公司的資訊是外包的，有關於外包資訊商的控管，大部分是採用相互信任關係方式在進行，即使在簽約的時候，合約內都有訂定違反合約的條文、保密合約等等，看起來似乎都在預想的範圍內進行，但是，筆者認為這會出現幾個問題。

1.查證需要花費很多時間，如筆者前幾篇有提到，即使是電腦稽核，也必須要交互比對所有紀錄，以及冗長的內部訪談，甚且要調出錄像或者錄音，抽絲剝繭之後，才能藉由珠絲馬跡裡面，發現問題，其他的不說，訪談這部分就充滿各種不確定性，每個人的說法都不同，甚至過於片面，有些能記得，有些又故意忘記，人不像電腦一樣，光要訪談就是一大考驗。

2.即使發現證據，走上法律訴訟一途，法律訴訟時間、律師費用的耗費，在成本上就不見得能夠拿捏到很準確，況且最後的結果也未必能夠保證勝訴。

以筆者個人所參予過的案子來說，大部分企業都沒有「工作外包不代表責任外包」的觀念，總是認為外包商要負責，其實企業本身所負的責任更大。企業不要忘記，當企業主機、伺服器等等資訊相關的軟硬體出現問題，可能波及的對象很廣，企業自身的客戶、顧客甚至整各產業鏈都會受到影響，甚至如果外包商藉此竊取公司重要商業機密，這牽連的對象，可能連自身都難保，甚至，會公司自己都會被告，因此，筆者提供以下兩種解決方式：

1.保險： 投保相關資安險，以避免當災難發生時，企業無法應付所有的賠償。

2.不定期稽核外包商： 正常情況下，外包商會定期派員到公司來做例行性維護，此時，資訊人員必須要安排，在不定期的時間裡，安排抽核其作業內容、訪談及資安相關事項抽核，並且做成相關紀錄，存檔並保留紀錄。

假設、如果真的不幸發生資安事件，企業除了第一時間通報之外，更重要的是誠實的發佈公告，除了告知社會大眾處理的進度之外，更重要的要能對客戶及社會表達願意承擔的態度，如果企業隱蔽資訊，外界懷疑一定會排山倒海而來的，屆時重創本身企業形象之外，也讓別人趁虛而入，趁火打劫一番，實則傷害會更大。

最後，還是要針對攻守方做個總結，攻擊方發現有機可乘，絕對會趁火打劫，海撈一筆，此時防守方除了訴諸法律，更重要的是公開面對問題，分階段公告處理進度，降低所有可能的傷害。